На компе похоже кучка вирусов!!!! Сам перезагружается, штампует кучу файлов!
На компе похоже кучка вирусов!!!! Сам перезагружается, штампует кучу файлов!
Последний раз редактировалось Petro8i4; 20.08.2009 в 11:30.
Отключите восстановление системы и антивирус!
Пофиксить
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".Код:O2 - BHO: (no name) - {7C8D1401-A58D-A81C-CD24-A5915C4517C7} - (no file) O20 - AppInit_DLLs: ukrth.dll,hjmh.dll,gyjert.dll,tjdegtr.dll,fyhje.dll,hgnmjsdg.dll,jkhjsd.dll,hjtdrh.dll,hyjmt.dll,fydgky.dll,ytjkyer.dll,dgrgfs.dll,gfcfg.dll,frntrn.dll,qrhhb.dll,drghszd.dll,fngn.dll,gnfctt.dll,xgnfn.dll,xfgnhcgfm.dll,serger.dll,bnxnb.dll,fxgnfx.dll,jzijj.dll,xfgnfx.dll,serghjm.dll,thsddh.dll,xbcvxb.dll,zfdzb.dll,xdndn.dll,xdfntt.dll,hgfhk.dll,dnteh.dll,xfng.dll,njritc.dll,chmfcmh.dll,jwlah.dll,gmnait.dll,hfjg.dll,thurh.dll,mgmgmm.dll,oqrthc.dll,dhugtj.dll,jyjlt.dll,ijatnaw.dll,sehhter.dll,fhjfg.dll,zdbdb.dll,ydgn.dll,dbfb.dll,fjnbv.dll,uyjtd.dll,setrhes.dll,cdxbfxdb.dll,xfgnxfn.dll,gjkhj.dll,xdhdg.dll,rhs.dll,mrjhtjd.dll,zdbfbd.dll,fjyjy.dll,fxnfnh.dll,bjrvm.dll,ektvm.dll,rdthr.dll,yjrfe.dll,dscef.dll,crugd.dll,lariytrz.dll,hjaiq.dll,kduy.dll,hkfgh.dll,awef.dll,dfhsh.dll,ethsh.dll,stehs.dll,sthth.dll,wfhyt.dll,rgghjj.dll,ghjkdr.dll,hfther.dll,
Пришлите карантин по правилам,очистите карантин Доктора и повторите логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\zxfhajpg.exe',''); QuarantineFile('C:\WINDOWS\system32\zptlcsys.dll',''); QuarantineFile('C:\WINDOWS\system32\zdesfx.dll',''); QuarantineFile('C:\WINDOWS\system32\zaztamsn.exe',''); QuarantineFile('C:\WINDOWS\system32\yxfhcjpg.dll',''); QuarantineFile('C:\WINDOWS\system32\ukrth.dll',''); QuarantineFile('C:\WINDOWS\system32\swsxachu.dll',''); QuarantineFile('C:\WINDOWS\system32\pedadt.dll',''); QuarantineFile('C:\WINDOWS\system32\opshbbty.dll',''); QuarantineFile('C:\WINDOWS\system32\lpsgajba.exe',''); QuarantineFile('C:\WINDOWS\system32\lpmxajkl.exe',''); QuarantineFile('C:\WINDOWS\system32\ismhasrv.exe',''); QuarantineFile('C:\WINDOWS\system32\hjmh.dll',''); QuarantineFile('C:\WINDOWS\system32\hhrdxd.dll',''); QuarantineFile('C:\WINDOWS\system32\hfrdzx.dll',''); QuarantineFile('C:\WINDOWS\system32\apsgdjba.dll',''); QuarantineFile('zfdzb.dll',''); QuarantineFile('zdbfbd.dll',''); QuarantineFile('zdbdb.dll',''); QuarantineFile('ytjkyer.dll',''); QuarantineFile('yjrfe.dll',''); QuarantineFile('ydgn.dll',''); QuarantineFile('xgnfn.dll',''); QuarantineFile('xfng.dll',''); QuarantineFile('xfgnxfn.dll',''); QuarantineFile('xfgnhcgfm.dll',''); QuarantineFile('xfgnfx.dll',''); QuarantineFile('xdndn.dll',''); QuarantineFile('xdhdg.dll',''); QuarantineFile('xdfntt.dll',''); QuarantineFile('xbcvxb.dll',''); QuarantineFile('wfhyt.dll',''); QuarantineFile('uyjtd.dll',''); QuarantineFile('tjdegtr.dll',''); QuarantineFile('thurh.dll',''); QuarantineFile('thsddh.dll',''); QuarantineFile('sthth.dll',''); QuarantineFile('stehs.dll',''); QuarantineFile('setrhes.dll',''); QuarantineFile('serghjm.dll',''); QuarantineFile('serger.dll',''); QuarantineFile('sehhter.dll',''); QuarantineFile('rhs.dll',''); QuarantineFile('rgghjj.dll',''); QuarantineFile('rdthr.dll',''); QuarantineFile('qrhhb.dll',''); QuarantineFile('oqrthc.dll',''); QuarantineFile('njritc.dll',''); QuarantineFile('mrjhtjd.dll',''); QuarantineFile('mgmgmm.dll',''); QuarantineFile('lariytrz.dll',''); QuarantineFile('kduy.dll',''); QuarantineFile('jzijj.dll',''); QuarantineFile('jyjlt.dll',''); QuarantineFile('jwlah.dll',''); QuarantineFile('jkhjsd.dll',''); QuarantineFile('ijatnaw.dll',''); QuarantineFile('hyjmt.dll',''); QuarantineFile('hkfgh.dll',''); QuarantineFile('hjtdrh.dll',''); QuarantineFile('hjaiq.dll',''); QuarantineFile('hgnmjsdg.dll',''); QuarantineFile('hgfhk.dll',''); QuarantineFile('hfther.dll',''); QuarantineFile('hfjg.dll',''); QuarantineFile('gyjert.dll',''); QuarantineFile('gnfctt.dll',''); QuarantineFile('gmnait.dll',''); QuarantineFile('gjkhj.dll',''); QuarantineFile('ghjkdr.dll',''); QuarantineFile('gfcfg.dll',''); QuarantineFile('fyhje.dll',''); QuarantineFile('fydgky.dll',''); QuarantineFile('fxnfnh.dll',''); QuarantineFile('fxgnfx.dll',''); QuarantineFile('frntrn.dll',''); QuarantineFile('fngn.dll',''); QuarantineFile('fjyjy.dll',''); QuarantineFile('fjnbv.dll',''); QuarantineFile('fhjfg.dll',''); QuarantineFile('ethsh.dll',''); QuarantineFile('ektvm.dll',''); QuarantineFile('dscef.dll',''); QuarantineFile('drghszd.dll',''); QuarantineFile('dnteh.dll',''); QuarantineFile('dhugtj.dll',''); QuarantineFile('dgrgfs.dll',''); QuarantineFile('dfhsh.dll',''); QuarantineFile('dbfb.dll',''); QuarantineFile('crugd.dll',''); QuarantineFile('chmfcmh.dll',''); QuarantineFile('cdxbfxdb.dll',''); QuarantineFile('bnxnb.dll',''); QuarantineFile('bjrvm.dll',''); QuarantineFile('awef.dll',''); QuarantineFile('C:\WINDOWS\System32\ukrth.dll',''); QuarantineFile('C:\WINDOWS\System32\hjmh.dll',''); DeleteFile('C:\WINDOWS\System32\hjmh.dll'); DeleteFile('C:\WINDOWS\System32\ukrth.dll'); DeleteFile('awef.dll'); DeleteFile('bjrvm.dll'); DeleteFile('bnxnb.dll'); DeleteFile('cdxbfxdb.dll'); DeleteFile('chmfcmh.dll'); DeleteFile('crugd.dll'); DeleteFile('dbfb.dll'); DeleteFile('dfhsh.dll'); DeleteFile('dgrgfs.dll'); DeleteFile('dhugtj.dll'); DeleteFile('dnteh.dll'); DeleteFile('drghszd.dll'); DeleteFile('dscef.dll'); DeleteFile('ektvm.dll'); DeleteFile('ethsh.dll'); DeleteFile('fhjfg.dll'); DeleteFile('fjnbv.dll'); DeleteFile('fjyjy.dll'); DeleteFile('fngn.dll'); DeleteFile('frntrn.dll'); DeleteFile('fxgnfx.dll'); DeleteFile('fxnfnh.dll'); DeleteFile('fydgky.dll'); DeleteFile('fyhje.dll'); DeleteFile('gfcfg.dll'); DeleteFile('ghjkdr.dll'); DeleteFile('gjkhj.dll'); DeleteFile('gmnait.dll'); DeleteFile('gnfctt.dll'); DeleteFile('gyjert.dll'); DeleteFile('hfjg.dll'); DeleteFile('hfther.dll'); DeleteFile('hgfhk.dll'); DeleteFile('hgnmjsdg.dll'); DeleteFile('hjaiq.dll'); DeleteFile('hjtdrh.dll'); DeleteFile('hkfgh.dll'); DeleteFile('hyjmt.dll'); DeleteFile('ijatnaw.dll'); DeleteFile('jkhjsd.dll'); DeleteFile('jwlah.dll'); DeleteFile('jyjlt.dll'); DeleteFile('jzijj.dll'); DeleteFile('kduy.dll'); DeleteFile('lariytrz.dll'); DeleteFile('mgmgmm.dll'); DeleteFile('njritc.dll'); DeleteFile('oqrthc.dll'); DeleteFile('qrhhb.dll'); DeleteFile('rdthr.dll'); DeleteFile('rgghjj.dll'); DeleteFile('rhs.dll'); DeleteFile('sehhter.dll'); DeleteFile('serger.dll'); DeleteFile('serghjm.dll'); DeleteFile('setrhes.dll'); DeleteFile('stehs.dll'); DeleteFile('sthth.dll'); DeleteFile('thsddh.dll'); DeleteFile('thurh.dll'); DeleteFile('tjdegtr.dll'); DeleteFile('uyjtd.dll'); DeleteFile('xbcvxb.dll'); DeleteFile('xdfntt.dll'); DeleteFile('xdhdg.dll'); DeleteFile('xdndn.dll'); DeleteFile('xfgnfx.dll'); DeleteFile('xfgnhcgfm.dll'); DeleteFile('xfgnxfn.dll'); DeleteFile('xfng.dll'); DeleteFile('xgnfn.dll'); DeleteFile('ydgn.dll'); DeleteFile('yjrfe.dll'); DeleteFile('ytjkyer.dll'); DeleteFile('zdbdb.dll'); DeleteFile('zdbfbd.dll'); DeleteFile('C:\WINDOWS\system32\apsgdjba.dll'); DeleteFile('C:\WINDOWS\system32\hfrdzx.dll'); DeleteFile('C:\WINDOWS\system32\hhrdxd.dll'); DeleteFile('C:\WINDOWS\system32\hjmh.dll'); DeleteFile('C:\WINDOWS\system32\ismhasrv.exe'); DeleteFile('C:\WINDOWS\system32\lpmxajkl.exe'); DeleteFile('C:\WINDOWS\system32\lpsgajba.exe'); DeleteFile('C:\WINDOWS\system32\opshbbty.dll'); DeleteFile('C:\WINDOWS\system32\pedadt.dll'); DeleteFile('C:\WINDOWS\system32\swsxachu.dll'); DeleteFile('C:\WINDOWS\system32\ukrth.dll'); DeleteFile('C:\WINDOWS\system32\yxfhcjpg.dll'); DeleteFile('C:\WINDOWS\system32\zaztamsn.exe'); DeleteFile('C:\WINDOWS\system32\zdesfx.dll'); DeleteFile('C:\WINDOWS\system32\zptlcsys.dll'); DeleteFile('C:\WINDOWS\system32\zxfhajpg.exe'); DelBHO('{7C8D1401-A58D-A81C-CD24-A5915C4517C7}'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Спасибо! Но строка 020 не фиксится, она сразу появляется ... точно так же не могу отключить эти файлы из автозагрузки с помощью авз4, удаляю, а они сразу же тут же появляются дублирующие, такого ещё не видел!!!
кстати всё время пишет, что конфликт IP в сети, хотя адрес уникальный!!!
Не подскажите ли, как можно убить Appinit_dll, я так понимаю, что это библиотеки которые грузятся даже в сейф моде и удалить их из реестра невозможно!!! У меня там целый рассадник и скрипт совсем ничего не изменил!!! Что делать?
Логи подготовить надо. Будем долечивать.
Microsoft Most Valuable Professional in Consumer Security
Буду пытаться успеть сделать проверку ... не успеваю скрипт лечения и сбора информации - виснет наглухо!!! есть ещё способ предоставить инфу? могу выложить хайджекс и простой срипт сбора инфы!
давайте логи которые есть
Microsoft Most Valuable Professional in Consumer Security
Всё что успел нарыть ...
вооот ... успел выложить!!!
не знаю как удалить из appinit, жестоко уничтожают систему, каждые три минуты зависает наглухо!!!
Последний раз редактировалось Petro8i4; 20.08.2009 в 11:30.
AVZ надо обновить срочно. Тек. версия 4.30 Она больше покажет.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Сделал с обновлёнными базами!
Последний раз редактировалось Petro8i4; 20.08.2009 в 11:30.
"Восст. системы" надо отключить.
Для начала попробуем вот этого убить:
Если попадет в карантин, то прислать.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\wintems.exe',''); DeleteFile('C:\WINDOWS\system32\wintems.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Последний раз редактировалось PavelA; 17.06.2008 в 11:41.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
получилось выполнить скрипт сбора и лечения!!!! прогрессс ... восстановление отключил, сейчас попробую выловить гада!
есть в инфектед, залил!
Последний раз редактировалось Petro8i4; 20.08.2009 в 11:30.
Пропадаю с первой страницы, жду очень помощи!!!
Не бойся, тебя не бросим. AVZ показывает, что "Восст" включено. Не порядок.
AVZ очень много чего побил, попробуй лог лечения сделать еще раз. Если малваре не уйдут, будем убивать скриптом.
Добавлено через 35 минут
У тебя Багл завелся. Будем пытаться его вывести. Станд. скрипт для него сейчас выложу.
Логи будут сохранены: B_d.txt и boot_clr_B_d.log от Бутклинера в папке AVZ. Их надо будет прислать.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('%System32%\drivers\srosa.sys',''); QuarantineFile('%System32%\drivers\hldrrr.exe',''); QuarantineFile('%System32%\wintems.exe',''); QuarantineFile('%System32%\drivers\mdelk.exe',''); QuarantineFile('%System32%\mdelk.exe',''); DeleteFile('%System32%\drivers\hldrrr.exe'); DeleteFile('%System32%\drivers\srosa.sys'); DeleteFile('%System32%\wintems.exe'); DeleteFile('%System32%\drivers\mdelk.exe'); DeleteFile('%System32%\mdelk.exe'); BC_ImportALL; ExecuteSysClean; If DirectoryExists('%System32%\drivers\down') then begin DeleteFileMask('%System32%\drivers\down', '*.*', true); DeleteDirectory('%System32%\drivers\down'); If DirectoryExists('%System32%\drivers\down') then AddToLog('Папка down не удалена') else AddToLog('Папка down удалена'); end else AddToLog('Папки down нет'); If DirectoryExists('%System32%\drivers\downld') then begin DeleteFileMask('%System32%\drivers\downld', '*.*', true); DeleteDirectory('%System32%\drivers\downld'); If DirectoryExists('%System32%\drivers\downld') then AddToLog('Папка downld не удалена') else AddToLog('Папка downld удалена'); end else AddToLog('Папки downld нет'); If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then begin AddToLog('Обнаружен параметр в реестре drvsyskit'); RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit'); If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then AddToLog('Ошибка удаления параметра drvsyskit') else AddToLog('Параметр drvsyskit успешно удален'); end; If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then begin AddToLog('Обнаружен параметр в реестре german.exe'); RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe'); If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then AddToLog('Ошибка удаления параметра german.exe') else AddToLog('Параметр german.exe успешно удален'); end; if RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then begin AddToLog('Найден ключ реестра FirstRRRun'); RegKeyDel('HKEY_CURRENT_USER', 'Software\FirstRRRun'); If RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then AddToLog('Ошибка удаления ключа реестра FirstRRRun') else AddToLog('ключ реестра FirstRRRun успешно удален'); end; BC_DeleteSvc('srosa'); BC_LogFile(GetAVZDirectory + 'boot_clr_B_d.log'); If BC_Activate then AddToLog('BootCleaner успешно активирован') else AddToLog('Внимание!!! BootCleaner не активирован!'); SaveLog(GetAVZDirectory + 'B_d.txt'); RebootWindows(true); end.
Добавлено через 18 минут
wintems.exe - Email-Worm.Win32.Bagle.of по Касперскому.
Последний раз редактировалось PavelA; 17.06.2008 в 14:45. Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
скрипт выполнил ... кое-что осталось в appinit и в hookах, комп перестал виснуть, однако, имхо, это ненадолго ... плодятся гады в прогрессии!
вот блин, только что завис ....
есть зависимость зависания от подключения к интернету, сейчас отрубил, вроде бы работает без зависаний!!!
... завтра выложу новые логи...
Последний раз редактировалось Petro8i4; 20.08.2009 в 11:30.
вроде бы уничтожил гадов, может что осталось? посмотрите плз!
...не хочет грузится syscheck
Последний раз редактировалось Petro8i4; 20.08.2009 в 11:30.
Вот еще парочку файлов надо проверить:
Пришли их.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\yzztimsn.dll',''); QuarantineFile('C:\WINDOWS\system32\mpmyfapi.dll',''); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
В AVZ - Сервис - Менеджер расширений IE - удалить те, строчки где файлы отсутствуют.
Добавлено через 1 минуту
Перед выполнением скрипта загрузи старый карантин.
Последний раз редактировалось PavelA; 18.06.2008 в 12:14. Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
карантин и инфицированные файлы я грохнул утром ...
скрипт сделал, высылаю логи!
на компе стоит NOD32 - матерится частенько, что на компе ещё много вирусов, на всякий случай вышлю его лог (в логе много из того, что авз4 как раз в карантин засунул, но есть кое-что новенькое, чего др. веб не замечает)
Последний раз редактировалось Petro8i4; 20.08.2009 в 11:30.
Win32/PSW.OnLineGames.NOA - вот это прибегает с флешек. Нужно будет менять пароли от онлайн-игр.
hттp://root.51113.com/root.gif Win32/TrojanDownloader.Murlo.NN trojan - это откуда прилетела гадость.
D:\DAF\PARTSR~1\PartsRapido.Exe Win32/Alman.NAB virus - вот это большая пакость.
C:\WINDOWS\AppPatch\Jview.dll Win32/Agent.NVY trojan - вот этого мы вообще не увидели.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
ещё интересная особенность, система не грузится в безопасном режиме.
hттp://root.51113.com/root.gif Win32/TrojanDownloader.Murlo.NN trojan - вот эта гадость переодически вылетает, наверное что-то провоцирует её скачивание ... только запускаешь IE сразу вылетает
D:\DAF\PARTSR~1\PartsRapido.Exe Win32/Alman.NAB virus - эта гадость быстро распространяется, сталкивался, но иногда, благо, просто лечиться, хотя часто выдирается с корнем и файл становится не работоспособным
C:\WINDOWS\AppPatch\Jview.dll Win32/Agent.NVY trojan а вот что с этим делать?
Уважаемый(ая) Petro8i4, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.